背景
前段時間�,我們的項目組在幫客戶解決一些操作系統(tǒng)安全領(lǐng)域的問題,涉及到windows���,Linux����,macOS三大操作系統(tǒng)平臺。無論什么操作系統(tǒng)��,本質(zhì)上都是一個軟件����,任何軟件在一開始設(shè)計的時候,都不能百分之百的滿足人們的需求�,所以操作系統(tǒng)也是一樣,為了盡可能的滿足人們需求���,不得不提供一些供人們定制操作系統(tǒng)的機(jī)制。當(dāng)然除了官方提供的一些機(jī)制��,也有一些黑魔法�,這些黑魔法不被推薦使用,但是有時候面對具體的業(yè)務(wù)場景����,可以作為一個參考的思路。
Linux中常見的攔截過濾
本文著重介紹Linux平臺上常見的攔截:
- 用戶態(tài)動態(tài)庫攔截�。
- 內(nèi)核態(tài)系統(tǒng)調(diào)用攔截��。
- 堆棧式文件系統(tǒng)攔截�。
- inline hook攔截����。
- LSM(Linux Security Modules)
動態(tài)庫劫持
Linux上的動態(tài)庫劫持主要是基于LD_ PRELOAD環(huán)境變量,這個環(huán)境變量的主要作用是改變動態(tài)庫的加載順序�����,讓用戶有選擇的載入不同動態(tài)庫中的相同函數(shù)�����。但是使用不當(dāng)就會引起嚴(yán)重的安全問題����,我們可以通過它在主程序和動態(tài)連接庫中加載別的動態(tài)函數(shù),這就給我們提供了一個機(jī)會��,向別人的程序注入惡意的代碼��。
假設(shè)有以下用戶名密碼驗證的函數(shù):
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
int main(int argc, char **argv)
{
char passwd[] = "password";
if (argc < 2) {
printf("Invalid argc!\n");
return;
}
if (!strcmp(passwd, argv[1])) {
printf("Correct Password!\n");
return;
}
printf("Invalid Password!\n");
}
我們再寫一段hookStrcmp的程序���,讓這個比較永遠(yuǎn)正確��。
#include <stdio.h>
int strcmp(const char *s1, const char *s2)
{
/* 永遠(yuǎn)返回0����,表示兩個字符串相等 */
return 0;
}
依次執(zhí)行以下命令,就會使我們的hook程序先執(zhí)行���。
gcc -Wall -fPIC -shared -o hookStrcmp.so hookStrcmp.c
export LD_PRELOAD=”./hookStrcmp.so”
結(jié)果會發(fā)現(xiàn)��,我們自己寫的strcmp函數(shù)優(yōu)先被調(diào)用了����。這是一個最簡單的劫持 ���,但是如果劫持了類似于geteuid/getuid/getgid��,讓其返回0�,就相當(dāng)于暴露了root權(quán)限�。所以為了安全起見��,一般將LD_ PRELOAD環(huán)境變量禁用掉���。
Linux系統(tǒng)調(diào)用劫持
最近發(fā)現(xiàn)在4.4.0的內(nèi)核中有513多個系統(tǒng)調(diào)用(很多都沒用過)�,系統(tǒng)調(diào)用劫持的目的是改變系統(tǒng)中原有的系統(tǒng)調(diào)用,用我們自己的程序替換原有的系統(tǒng)調(diào)用�����。Linux內(nèi)核中所有的系統(tǒng)調(diào)用都是放在一個叫做sys_ call _table的內(nèi)核數(shù)組中�����,數(shù)組的值就表示這個系統(tǒng)調(diào)用服務(wù)程序的入口地址�。整個系統(tǒng)調(diào)用的流程如下:
當(dāng)用戶態(tài)發(fā)起一個系統(tǒng)調(diào)用時,會通過80軟中斷進(jìn)入到syscall hander��,進(jìn)而進(jìn)入全局的系統(tǒng)調(diào)用表sys_ call _table去查找具體的系統(tǒng)調(diào)用�����,那么如果我們將這個數(shù)組中的地址改成我們自己的程序地址�,就可以實現(xiàn)系統(tǒng)調(diào)用劫持。但是內(nèi)核為了安全����,對這種操作做了一些限制:
- sys_ call _table的符號沒有導(dǎo)出,不能直接獲取���。
- sys_ call _table所在的內(nèi)存頁是只讀屬性的���,無法直接進(jìn)行修改����。
對于以上兩個問題�,解決方案如下(方法不止一種):
- 獲取sys call table的地址 :grep sys _ call _table /boot/System.map-uname -r
- 控制頁表只讀屬性是由CR0寄存器的WP位控制的,只要將這個位清零就可以對只讀頁表進(jìn)行修改�����。
/* make the page writable */
int make_rw(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);//查找虛擬地址所在的頁表地址
pte->pte |= _PAGE_RW;//設(shè)置頁表讀寫屬性
return 0;
}
/* make the page write protected */
int make_ro(unsigned long address)
{
unsigned int level;
pte_t *pte = lookup_address(address, &level);
pte->pte &= ~_PAGE_RW;//設(shè)置只讀屬性
return 0;
}
開始替換系統(tǒng)調(diào)用
本文實現(xiàn)的是對 ls這個命令對應(yīng)的系統(tǒng)調(diào)用��,系統(tǒng)調(diào)用號是 _ NR _getdents��。
static int syscall_init_module(void)
{
orig_getdents = sys_call_table[__NR_getdents];
make_rw((unsigned long)sys_call_table); //修改頁屬性
sys_call_table[__NR_getdents] = (unsigned long *)hacked_getdents; //設(shè)置新的系統(tǒng)調(diào)用地址
make_ro((unsigned long)sys_call_table);
return 0;
}
恢復(fù)原狀
static void syscall_cleanup_module(void)
{
printk(KERN_ALERT "Module syscall unloaded.\n");
make_rw((unsigned long)sys_call_table);
sys_call_table[__NR_getdents] = (unsigned long *)orig_getdents;
make_ro((unsigned long)sys_call_table);
}
使用Makefile編譯�,insmod插入內(nèi)核模塊后,再執(zhí)行l(wèi)s時��,就會進(jìn)入到我們的系統(tǒng)調(diào)用�,我們可以在hook代碼中刪掉某些文件,ls就不會顯示這些文件���,但是這些文件還是存在的��。
堆棧式文件系統(tǒng)
Linux通過vfs虛擬文件系統(tǒng)來統(tǒng)一抽象具體的磁盤文件系統(tǒng)���,從上到下的IO棧形成了一個堆棧式。通過對內(nèi)核源碼的分析�,以一次讀操作為例,從上到下所執(zhí)行的流程如下:
內(nèi)核中采用了很多c語言形式的面向?qū)ο?����,也就是函?shù)指針的形式����,例如read是vfs提供用戶的接口,具體底下調(diào)用的是ext2的read操作�����。我們只要實現(xiàn)VFS提供的各種接口�,就可以實現(xiàn)一個堆棧式文件系統(tǒng)。Linux內(nèi)核中已經(jīng)集成了一些堆棧式文件系統(tǒng)����,例如Ubuntu在安裝時會提醒你是否需要加密home目錄,其實就是一個堆棧式的加密文件系統(tǒng)(eCryptfs)�,原理如下:
實現(xiàn)了一個堆棧式文件系統(tǒng),相當(dāng)于所有的讀寫操作都會進(jìn)入到我們的文件系統(tǒng),可以拿到所有的數(shù)據(jù)�,就可以進(jìn)行做一些攔截過濾。
以下是我實現(xiàn)的一個最簡單的堆棧式文件系統(tǒng)����,實現(xiàn)了最簡單的打開、讀寫文件��,麻雀雖小但五臟俱全����。
https://github.com/wangzhangjun/wzjfs
inline hook
我們知道內(nèi)核中的函數(shù)不可能把所有功能都在這個函數(shù)中全部實現(xiàn),它必定要調(diào)用它的下層函數(shù)�。如果這個下層函數(shù)可以得到我們想要的過濾信息內(nèi)容,就可以把下層函數(shù)在上層函數(shù)中的offset替換成新的函數(shù)的offset��,這樣上層函數(shù)調(diào)用下層函數(shù)時��,就會跳到新的函數(shù)中���,在新的函數(shù)中做過濾和劫持內(nèi)容的工作�。所以從原理上來說���,inline hook可以想hook哪里就hook哪里��。
inline hook 有兩個重要的問題:
- 如何定位hook點�����。
- 如何注入hook函數(shù)入口����。
對于第一個問題:
需要有一點的內(nèi)核源碼經(jīng)驗�,比如說對于read操作,源碼如下:
在這里當(dāng)發(fā)起read系統(tǒng)調(diào)用后��,就會進(jìn)入到sys read,在sys read中會調(diào)用vfs read函數(shù)���,在vfs read的參數(shù)中正好有我們需要過濾的信息���,那么就可以把vfs_ read當(dāng)做一個hook點。
對于第二個問題:
如何Hook�?這里介紹兩種方式:
第一種方式:直接進(jìn)行二進(jìn)制替換,將call指令的操作數(shù)替換為hook函數(shù)的地址���。
第二種方式:Linux內(nèi)核提供的kprobes機(jī)制��。
其原理是在hook點注入int 3(x86)的機(jī)器碼�����,讓cpu運(yùn)行到這里的時候會觸發(fā)sig trap信號����,然后將用戶自定義的hook函數(shù)注入到sig trap的回調(diào)函數(shù)中,達(dá)到觸發(fā)hook函數(shù)的目的����。這個其實也是調(diào)試器的原理。
LSM
LSM是Linux Secrity Module的簡稱��,即linux安全模塊�。是一種通用的Linux安全框架,具有效率高�,簡單易用等特點。原理如下:
LSM
在內(nèi)核中做了以下工作:
- 在特定的內(nèi)核數(shù)據(jù)結(jié)構(gòu)中加入安全域��。
- 在內(nèi)核源代碼中不同的關(guān)鍵點插入對安全鉤子函數(shù)的調(diào)用����。
- 加入一個通用的安全系統(tǒng)調(diào)用。
- 提供了函數(shù)允許內(nèi)核模塊注冊為安全模塊或者注銷��。
- 將capabilities邏輯的大部分移植為一個可選的安全模塊,具有可擴(kuò)展性����。
適用場景
對于以上幾種Hook方式��,有其不同的應(yīng)用場景���。
- 動態(tài)庫劫持不太完全,劫持的信息有可能滿足不了我們的需求�����,還有可能別人在你之前劫持了��,一旦禁用LD_ PRELOAD就失效了��。
- 系統(tǒng)調(diào)用劫持���,劫持的信息有可能滿足不了我們的需求,例如不能獲取struct file結(jié)構(gòu)體�����,不能獲取文件的絕對路徑等��。
- 堆棧式文件系統(tǒng)���,依賴于Mount,可能需要重啟系統(tǒng)���。
- inline hook���,靈活性高,隨意Hook���,即時生效無需重啟����,但是在不同內(nèi)核版本之間通用性差���,一旦某些函數(shù)發(fā)生了變化�,Hook失效����。
- LSM,在早期的內(nèi)核中�,只能允許一個LSM內(nèi)核模塊加載,例如加載了SELinux����,就不能加載其他的LSM模塊�,在最新的內(nèi)核版本中不存在這個問題��。
總結(jié)
篇幅有限����,本文只是介紹了Linux上的攔截技術(shù),后續(xù)有機(jī)會可以一起探討windows和macOS上的攔截技術(shù)���。事實上類似的審計HOOK放到任何一個系統(tǒng)中都是剛需��,不只是kernel����,我們可以看到越來越多的vm和runtime甚至包括很多web組件�����、前端應(yīng)用都提供了更靈活的hook方式�,這是透明化和實時性兩個安全大趨勢下最常見的解決方案��。
以上就是這篇文章的全部內(nèi)容了����,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值��,如果有疑問大家可以留言交流����,謝謝大家對腳本之家的支持���。
